[lacnog] IP Squatting en la region

Tomas Lynch tomas.lynch en gmail.com
Mie Feb 11 12:05:57 BRST 2015


2015-02-10 21:08 GMT-05:00 Carlos M. Martinez <carlosm3011 en gmail.com>:
> Un comentario, RADDB no es operada por ARIN, y puede ser usada por
> organizaciones fuera de norteamerica.
>
> De todas formas, el problema aqui no es de routing, por lo que ni RPKI,
> ni registros de rutas son formas de mitigar este problema. El prefijo
> 'squatted' no es anunciado en Internet.

Coincido completamente con Carlos. Mi opinión es que es un tema de
desidia en el operador que utiliza prefijos públicos como prefijos
privados, que muy probablemente lo hagan por comodidad (e.g. usemos
10/8, 20/8, 30/8) o desorganización al asignar redes privadas (e.g.
tengo el 10/8, asignemos /16 para todo el mundo), incluso diría que
desconocimiento del tema (e.g. ¿cómo que 172.16/12 es privado?, ¿no es
la de loopback?). El que paga es su propio cliente, y por eso eligen
prefijos de algún ignoto ente al cual casi ninguno de sus clientes
acceden, excepto cuando alguien lo suficientemente experto en el tema
lo necesita hacer y publica una nota como la que originó este thread.

El problema es cómo hacer que estos operadores cambien sus prefijos
squatted por prefijos privados; la renumeración de toda una red no es
simple, menos cuando se tiene que avisar de un corte programado de
toda la red a los gerentes "porque cuando empezamos todo esto usamos
la 12/6 para que se viera más bonito"

>
> s2
>
> Carlos
>
> On 2/9/15 6:03 PM, TEC Paredes John wrote:
>> Estimados,
>>
>> Siguiendo de alguna manera algún ejemplo de ARIN ¿ No sería mejor crear una base de datos de la región (como lo es RADDB) para que los ISPs de la región registren sus prefijos y de esa manera crear una cultura de orden, después de alimentada esa base de datos se pueda validar el BGP para que los prefijos ya validados tengan un Community y evitar el mal uso de prefijos?
>>
>> Saludos Cordiales,
>> John Paredes, Ing
>>  ANALISTA DE DISEÑO PLATAFORMAS IP/MPLS
>>
>>
>>
>> -----Mensaje original-----
>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de lacnog-request en lacnic.net
>> Enviado el: lunes, 09 de febrero de 2015 12:16
>> Para: lacnog en lacnic.net
>> Asunto: Resumen de LACNOG, Vol 86, Envío 21
>>
>> Envíe los mensajes para la lista LACNOG a
>>         lacnog en lacnic.net
>>
>> Para subscribirse o anular su subscripción a través de la WEB
>>         https://mail.lacnic.net/mailman/listinfo/lacnog
>>
>> O por correo electrónico, enviando un mensaje con el texto "help" en el asunto (subject) o en el cuerpo a:
>>         lacnog-request en lacnic.net
>>
>> Puede contactar con el responsable de la lista escribiendo a:
>>         lacnog-owner en lacnic.net
>>
>> Si responde a algún contenido de este mensaje, por favor, edite la linea del asunto (subject) para que el texto sea mas especifico que:
>> "Re: Contents of LACNOG digest...". Además, por favor, incluya en la respuesta sólo aquellas partes del mensaje a las que está respondiendo.
>>
>>
>> Asuntos del día:
>>
>>    1. Re:  IP Squatting en la region? (Carlos M. Martinez)
>>    2. Re:  IP Squatting en la region? (Luar Roji)
>>    3. Re:  IP Squatting en la region? (rdhios en syt.net)
>>
>>
>> ----------------------------------------------------------------------
>>
>> Message: 1
>> Date: Mon, 09 Feb 2015 14:56:15 -0200
>> From: "Carlos M. Martinez" <carlosm3011 en gmail.com>
>> To: noc en cabase.org.ar,  Latin America and Caribbean Region Network
>>         Operators Group <lacnog en lacnic.net>
>> Subject: Re: [lacnog] IP Squatting en la region?
>> Message-ID: <54D8E6AF.1050901 en gmail.com>
>> Content-Type: text/plain; charset=utf-8
>>
>> Como todo en la vida, hasta para las cosas que estan mal y no deberían hacerse,  existen formas de hacerlas mal (o sea peor de lo ya mal que
>> eran) o bien (es decir, un poco menos mal).
>>
>> Si uno va a hacer squatting de direcciones, y uno mira el registro de IANA, hay especio unicast que si bien está asignado, es espacio "obscuro" y que es casi seguro que nunca se va a anunciar en Internet.
>> No voy a dar mas datos, porque no quiero que parezca que yo estoy dando instrucciones de como hacer squatting, pero el punto que quiero marcar, es que incluso para hacer cosas mal, es conveniente entender como funciona Internet, IANA y los RIRs (entre otras cosas).
>>
>> Creo que tenemos un problema como región, y es que estamos de espaldas a todo esto (y a muchas cosas mas). Aceptamos como dadas ciertas cosas y no participamos en foros como IETF, los RIRs, la IEEE y la participación en UIT está limitada a que los gobiernos vayan a los ámbitos de gobiernos, pero tenemos nula o muy baja participación en los ámbitos de standarización. Nos cuesta cuestionar, y nos cuesta pasar de ser consumidores a productores de conocimiento.
>>
>> Seguro que hay honrosas excepciones a todo lo que dije arriba, pero estoy refiriéndome a la generalidad de la región. Además se que los que leen esta lista son justamente parte de esas excepciones, por lo que estoy haciendo los anglosajones le dirian 'preaching to the choir'.
>>
>> Por si no se entendió, lo repito, *CREO QUE ESTA MUY MAL HACER SQUATTING*, pero incluso si uno va a hacer algo que esta *MAL*, si uno entiende como está estructurada la gobernanza de Internet y sabe donde ir a buscar información, hay opciones para hacerlo un poco menos mal.
>>
>> s2
>>
>> Carlos
>>
>> On 2/9/15 11:55 AM, Hernan Moguilevsky - NOC CABASE wrote:
>>> Hay que tener ganas de usurparle al Ministerio de Defensa Britanico...
>>> Por lo menos se puede decir que son ¿valientes?!
>>> :-)
>>>
>>> ?Each Hamachi client is normally assigned an IP address when it logs into the system for the first time. To avoid conflicting with existing private networks on the client side the normal private IP address blocks 10.0.0.0/8, 172.16.0.0/12 and 192.168.0.0/16 are not used.
>>> Before November 19, 2012 the 5.0.0.0/8 range was used. This range was
>>> previously unallocated but was allocated to RIPE NCC in late 2010 and space from this range is now being used by hosting providers on the public internet. Hamachi switched to the 25.0.0.0/8 block.[2] The 25.0.0.0/8 block is allocated to the British Ministry of Defence. Organisations who need to communicate with the MOD may experience problems when more specific Internet routes attract traffic that was meant for internal hosts, or alternatively find themselves unable to reach the legitimate users of those addresses because those addresses are being used internally,[3] and such "squatting" is against the established practice of the Internet.?
>>>
>>>
>>> Hernan Moguilevsky
>>> NOC CABASE
>>>
>>> Suipacha 128 - Piso 3°  F
>>> C1008AAD Buenos Aires - Argentina
>>> Tel: (54-11) 4326-0777 int. 9109
>>> www.cabase.org.ar
>>>
>>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Roque
>>> Gagliano Enviado el: lunes, 09 de febrero de 2015 06:58 a.m.
>>> Para: Latin America and Caribbean Region Network Operators Group
>>> Asunto: Re: [lacnog] IP Squatting en la region?
>>>
>>> Ricardo,
>>>
>>> Aquí la razón por la que te "sonaba" el bloque 5.0.0.0/8:
>>>
>>> http://en.wikipedia.org/wiki/LogMeIn_Hamachi
>>> Saludos,
>>> Roque
>>>
>>> On Sat, Feb 7, 2015 at 11:35 PM, Ricardo Patara <patara en registro.br> wrote:
>>> I am not sure that is the case but when I read "5.x.x.x" it ring a bell.
>>> There was an NAT equipment from an big manufacturer pre configured
>>> with 5/8 as "internal" network for NATing.
>>> It was a long time ago, not sure this equipment is still on the
>>> market, not sure either this is the case.
>>>
>>> Regards,
>>>
>>>   Ricardo Patara
>>>
>>> On 07/02/15 00:04, Doug Madory wrote:
>>>> Hola Andres,
>>>
>>>> I don't see Claro (or any other Colombian provider) globally
>>>> announcing any IP address space in 5.x.x.x range.
>>>
>>>> However, they could be internally numbering with this address space
>>>> and that could cause a problem for their customers. There are many
>>>> cases of providers around the world using global IP addresses for
>>>> internal numbering, which is a risky practice.
>>>
>>>> Can anyone with Claro Colombia residential service post a traceroute
>>>> to one of the affected IPs? Por ejemplo: 5.9.66.150
>>>
>>>> Gracias, Doug
>>>
>>>> Doug Madory Director of Internet Analysis, Dyn @dynresearch
>>>> Hanover, NH                      +1 603-263-6868
>>>
>>>> Dyn is a cloud-based Internet Performance company
>>>> http://dyn.com/about/
>>>
>>>
>>>
>>>> _______________________________________________ LACNOG mailing list
>>>> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar
>>>> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>>
>>>
>>
>>
>> ------------------------------
>>
>> Message: 2
>> Date: Mon, 9 Feb 2015 15:15:21 -0200
>> From: Luar Roji <nic en roji.net>
>> To: Carlos Martinez <carlos en lacnic.net>,  Latin America and Caribbean
>>         Region Network Operators Group <lacnog en lacnic.net>
>> Cc: noc en cabase.org.ar
>> Subject: Re: [lacnog] IP Squatting en la region?
>> Message-ID:
>>         <CAHe44APStHaVO+Su8ZW_nzhKrGF9kZCTNsRRhE8VshzgQFFW3A en mail.gmail.com>
>> Content-Type: text/plain; charset="utf-8"
>>
>> Estoy de acuerdo.
>>
>> Además hay casos muy variados.. en el caso original que hablaban de CLARO (uno de tantos ejemplos), los afectados son usuarios inocentes que no tienen forma de zafar de dicho squatting, lo cual me parece muy malo!
>>
>> En el caso de hamachi, esta gente parece estar conciente de lo que está haciendo y te avisan y si el usuario necesita acceder a algo en el rango ese en particular, puede apagar el cliente y accederlo, o sea que tiene la opción.
>>
>> Por ultimo, volviendo a lo que tú decías, no es TAN dificil aprender un poco de internet y ver qué rangos se pueden utilizar para este tipo de cosas, sin afectar demasiado.. en vez de elegir un rango "por lo lindo que luce"!
>>
>> También hay que mencionar en el hall of shame aquellos proveedores (como uno muy cercano a donde vivo) que configuraban mal los routers de la gente, poniendole por ejemplo 168.192.0.x o 190.168.0.x a las redes internas (lo vi y no lo podía creer).
>>
>> Saludos!
>>
>> On Mon, Feb 9, 2015 at 2:56 PM, Carlos M. Martinez <carlosm3011 en gmail.com>
>> wrote:
>>
>>> Como todo en la vida, hasta para las cosas que estan mal y no deberían
>>> hacerse,  existen formas de hacerlas mal (o sea peor de lo ya mal que
>>> eran) o bien (es decir, un poco menos mal).
>>>
>>> Si uno va a hacer squatting de direcciones, y uno mira el registro de
>>> IANA, hay especio unicast que si bien está asignado, es espacio
>>> "obscuro" y que es casi seguro que nunca se va a anunciar en Internet.
>>> No voy a dar mas datos, porque no quiero que parezca que yo estoy
>>> dando instrucciones de como hacer squatting, pero el punto que quiero
>>> marcar, es que incluso para hacer cosas mal, es conveniente entender
>>> como funciona Internet, IANA y los RIRs (entre otras cosas).
>>>
>>> Creo que tenemos un problema como región, y es que estamos de espaldas
>>> a todo esto (y a muchas cosas mas). Aceptamos como dadas ciertas cosas
>>> y no participamos en foros como IETF, los RIRs, la IEEE y la
>>> participación en UIT está limitada a que los gobiernos vayan a los
>>> ámbitos de gobiernos, pero tenemos nula o muy baja participación en
>>> los ámbitos de standarización. Nos cuesta cuestionar, y nos cuesta
>>> pasar de ser consumidores a productores de conocimiento.
>>>
>>> Seguro que hay honrosas excepciones a todo lo que dije arriba, pero
>>> estoy refiriéndome a la generalidad de la región. Además se que los
>>> que leen esta lista son justamente parte de esas excepciones, por lo
>>> que estoy haciendo los anglosajones le dirian 'preaching to the choir'.
>>>
>>> Por si no se entendió, lo repito, *CREO QUE ESTA MUY MAL HACER
>>> SQUATTING*, pero incluso si uno va a hacer algo que esta *MAL*, si uno
>>> entiende como está estructurada la gobernanza de Internet y sabe donde
>>> ir a buscar información, hay opciones para hacerlo un poco menos mal.
>>>
>>> s2
>>>
>>> Carlos
>>>
>>> On 2/9/15 11:55 AM, Hernan Moguilevsky - NOC CABASE wrote:
>>>> Hay que tener ganas de usurparle al Ministerio de Defensa Britanico...
>>>> Por lo menos se puede decir que son ¿valientes?!
>>>> :-)
>>>>
>>>> ?Each Hamachi client is normally assigned an IP address when it logs
>>> into the system for the first time. To avoid conflicting with existing
>>> private networks on the client side the normal private IP address
>>> blocks 10.0.0.0/8, 172.16.0.0/12 and 192.168.0.0/16 are not used.
>>>> Before November 19, 2012 the 5.0.0.0/8 range was used. This range
>>>> was
>>> previously unallocated but was allocated to RIPE NCC in late 2010 and
>>> space from this range is now being used by hosting providers on the
>>> public internet. Hamachi switched to the 25.0.0.0/8 block.[2]
>>>> The 25.0.0.0/8 block is allocated to the British Ministry of Defence.
>>> Organisations who need to communicate with the MOD may experience
>>> problems when more specific Internet routes attract traffic that was
>>> meant for internal hosts, or alternatively find themselves unable to
>>> reach the legitimate users of those addresses because those addresses
>>> are being used internally,[3] and such "squatting" is against the
>>> established practice of the Internet.?
>>>>
>>>>
>>>> Hernan Moguilevsky
>>>> NOC CABASE
>>>>
>>>> Suipacha 128 - Piso 3°  F
>>>> C1008AAD Buenos Aires - Argentina
>>>> Tel: (54-11) 4326-0777 int. 9109
>>>> www.cabase.org.ar
>>>>
>>>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Roque
>>> Gagliano
>>>> Enviado el: lunes, 09 de febrero de 2015 06:58 a.m.
>>>> Para: Latin America and Caribbean Region Network Operators Group
>>>> Asunto: Re: [lacnog] IP Squatting en la region?
>>>>
>>>> Ricardo,
>>>>
>>>> Aquí la razón por la que te "sonaba" el bloque 5.0.0.0/8:
>>>>
>>>> http://en.wikipedia.org/wiki/LogMeIn_Hamachi
>>>> Saludos,
>>>> Roque
>>>>
>>>> On Sat, Feb 7, 2015 at 11:35 PM, Ricardo Patara <patara en registro.br>
>>> wrote:
>>>> I am not sure that is the case but when I read "5.x.x.x" it ring a bell.
>>>> There was an NAT equipment from an big manufacturer pre configured
>>>> with 5/8 as "internal" network for NATing.
>>>> It was a long time ago, not sure this equipment is still on the
>>>> market, not sure either this is the case.
>>>>
>>>> Regards,
>>>>
>>>>   Ricardo Patara
>>>>
>>>> On 07/02/15 00:04, Doug Madory wrote:
>>>>> Hola Andres,
>>>>
>>>>> I don't see Claro (or any other Colombian provider) globally
>>>>> announcing any IP address space in 5.x.x.x range.
>>>>
>>>>> However, they could be internally numbering with this address space
>>>>> and that could cause a problem for their customers. There are many
>>>>> cases of providers around the world using global IP addresses for
>>>>> internal numbering, which is a risky practice.
>>>>
>>>>> Can anyone with Claro Colombia residential service post a
>>>>> traceroute to one of the affected IPs? Por ejemplo: 5.9.66.150
>>>>
>>>>> Gracias, Doug
>>>>
>>>>> Doug Madory Director of Internet Analysis, Dyn @dynresearch
>>>>> Hanover, NH                      +1 603-263-6868
>>>>
>>>>> Dyn is a cloud-based Internet Performance company
>>>>> http://dyn.com/about/
>>>>
>>>>
>>>>
>>>>> _______________________________________________ LACNOG mailing list
>>>>> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
>>>>> Cancelar
>>>>> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>>
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>>
>>>>
>>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>> ------------ próxima parte ------------
>> Se ha borrado un adjunto en formato HTML...
>> URL: <http://mail.lacnic.net/pipermail/lacnog/attachments/20150209/f8756456/attachment-0001.html>
>>
>> ------------------------------
>>
>> Message: 3
>> Date: Mon,  9 Feb 2015 14:15:51 -0300 (ART)
>> From: rdhios en syt.net
>> To: lacnog en lacnic.net
>> Subject: Re: [lacnog] IP Squatting en la region?
>> Message-ID: <20150209171551.B40FB15A023B en plesk11.syt.com>
>> Content-Type: text/plain; charset="UTF-8"
>>
>> Me encontrare ausente en la oficina, por motivos vacacionales, desde el 09 de Febrero hasta el 01 de Marzo. Por cualquier necesidad o urgencia dirigir sus correos a noc en syt.net o bien llamar al 4138-1800, desde ya muchas gracias.
>>
>> Roberto Dhios
>> Jefe de Ingenieria SYT SA.
>>
>>
>>
>>
>>
>> ------------------------------
>>
>> Subject: Pié de página del digest
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
>>
>> ------------------------------
>>
>> Fin de Resumen de LACNOG, Vol 86, Envío 21
>> ******************************************
>> ________________________________
>>  “Nota de Descargo: La información contenida en este mensaje y sus anexos tiene carácter confidencial, y está dirigida únicamente al destinatario de la misma y sólo podrá ser usada por éste. Si el lector de este mensaje no es el destinatario del mismo, se le notifica que cualquier copia o distribución de éste se encuentra totalmente prohibida. Si usted ha recibido este mensaje por error, por favor notifique inmediatamente al remitente por este mismo medio y borre el mensaje de su sistema. Las opiniones que contenga este mensaje son exclusivas de su autor y no necesariamente representan la opinión oficial de la CORPORACIÓN NACIONAL DE TELECOMUNICACIONES, CNT EP, DEL ECUADOR.”
>> ________________________________
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog



Más información sobre la lista de distribución LACNOG